Nowa ustawa o krajowym systemie cyberbezpieczeństwa uznaje, że jego zapewnienie ma być obowiązkiem, a nie zaledwie dobrą wolą firm.
W regulacjach przygotowanych przez Ministerstwo Cyfryzacji pojawia się nowa kategoria firm – „operatorzy usług kluczowych”, którzy mają obowiązkowo zadbać o siebie i swoich klientów. Operatorami tymi są firmy z sześciu sektorów: energetycznego, transportowego, służby zdrowia, bankowości i infrastruktury finansowej, dostawców wody oraz infrastruktury cyfrowej. To kilkadziesiąt tysięcy mniejszych i większych podmiotów w całym kraju, na które zostaną nałożone nowe obowiązki: identyfikacji, klasyfikacji i raportowania incydentów bezpieczeństwa.
Polska Izba Informatyki i Telekomunikacji w oficjalnym piśmie do resortu cyfryzacji podkreśla, że opory telekomów budzą „bardzo szerokie uprawnienia CSIRT-ów (rządowych zespołów szybkiego reagowania na incydenty komputerowe – red.) w zakresie możliwości żądania od operatorów telekomunikacyjnych udostępnienia informacji dotyczących ich działalności, a także przyznania organom nadzoru prawa do wydawania wiążących zaleceń”. Jak tłumaczy PIIT, wprowadzenie takich rozwiązań może w istotny sposób ograniczać swobodę działalności gospodarczej.
W podobnym tonie wypowiedział się Związek Pracodawców Mediów Elektronicznych i Telekomunikacji Mediakom, który zwraca uwagę, że ustawa planuje włączyć do grona operatorów usług kluczowych także właścicieli platformy e-commerce, w tym nawet tych firm, które korzystają z systemów sprzedaży w sieci tylko do zawierania umów abonenckich, więc „e-handel” stanowi jedynie poboczne narzędzie ich działalności.
Przedsiębiorcy narzekają nie tylko na nowe obowiązki, ale przede wszystkim na to, że choć ustawa miała wreszcie uporządkować zagadnienia, kto i w jakim zakresie odpowiada w państwie za kwestie cyberbezpieczeństwa, to niewiele zmienia. Stąd mocno krytyczna opinia Lewiatana. – Brak jednego punktu zgłoszeń incydentów na poziomie krajowym, do którego można byłoby je zgłaszać i który by je przekierowywał według właściwości. Takie rozwiązanie wydaje się efektywniejsze niż zaproponowany, skomplikowany model zgłaszania poszczególnych kategorii incydentów – tłumaczy nam Aleksandra Musielak z tej organizacji. Także bardzo aktywny w obszarze cyberbezpieczeńsywa Instytut Kościuszki, choć wiele rozwiązań ustawy chwali, to jednak ogólnie ocenia, że: „przedstawiony do konsultacji projekt pozostaje niekompletny” i jest jedynie niezbędnym minimum przed wejściem w życie unijnej dyrektywy NIS (maj 2018 r.).
Na czym polega niekompletność? Oprócz sankcji dla przedsiębiorców nie wprowadza równolegle zachęt i nie normuje roli instytucji czy zespołów związanych z cyberbezpieczeństwem, takich jak Forum ds. Cyberbezpieczeństwa przy Ministerstwie Cyfryzacji czy Zespół zadaniowy ds. bezpieczeństwa cyberprzestrzeni RP. Powstanie tego ostatniego pod kierownictwem Pawła Szefernakera blisko dwa miesiące temu zapowiedziała premier Beata Szydło. Ten specdepartament wciąż jednak nie powstał i nie wiadomo, czym dokładnie ma się zajmować. KPRM na nasze pytania odpowiedziało, że: „do końca roku zostanie nakreślony plan organizacji departamentu oraz dopracowane zostaną szczegóły jego międzyresortowej współpracy”.